收藏
回答

发现小程序前端代码安全问题

由于手持弹幕被过多人抄袭阻挡我们迭代得路径,我们对微信前端代码进行了一次安全性测试。

发现通过抓包方式可以获取前端代码及密钥,感到非常危机。

一下为破解结果。




另附,反馈系统得交互设计·由于输入框太大, 我会先输入内容,再选择问题  而不是先选择问题在输入内容。

最后一次编辑于  2018-03-25  (未经腾讯允许,不得转载)
邀请回答
复制链接收藏投诉关注问题回答

10 个回答

  • 杨李云
    杨李云
    2018-03-25

    不是https的吗,你们怎么抓到的?

    2018-03-25
    赞同
    回复
  • roy罗宇
    roy罗宇
    2018-03-27

    就这样抓取得啊  过程当然不能说

    2018-03-27
    赞同
    回复
  • 追梦的人(IT大叔一枚)
    追梦的人(IT大叔一枚)
    2018-03-28

    通过代理抓包实现抓取而已,至于楼主说的拿到前端代码及密钥,这个是网络传输的一个历史问题了WEB都可以直接破译.

    所以比较关键的资料,我们一般是通过本地加密后进行传输,然后服务端解密入库.加密解密算法很多网上可以查直接copy


    2018-03-28
    赞同
    回复
  • f番茄花园
    f番茄花园
    2018-03-28

    https有啥不能抓的……理论上只要手机选择信任一个自己签发的证书就可以了

    具体可以看charles

    2018-03-28
    赞同
    回复
  • Warden 🐾 จุ๊บ
    Warden 🐾 จุ๊บ
    2018-03-28

    这应该不算吧..你用抓包工具抓的https 是需要设备安装证书授权信任的,所以秘钥数据泄露的问题不存在,你难道是担心源码泄露吗?

    2018-03-28
    赞同
    回复
  • Tímiu
    Tímiu
    2018-03-28

    一些是可以被抓包抓到的,一些重要的就抓不了了

    2018-03-28
    赞同
    回复
  • @
    @
    2018-03-29

    你这看到了一部份,我看tx 什么时候修复, 所有小程序的源码 都可以被人轻易搞到,看看tb上那些缩了变量名的 源码,打包是 不能 加点密吗?,page-frame.html 不能 换换形式?

    2018-03-29
    赞同
    回复
  • 小葱
    小葱
    2018-03-29

    小程序的代码都可以弄到何况数据

    2018-03-29
    赞同
    回复
  • @
    @
    2018-04-08


    这就是 你们的手持 弹幕吧 ,我就花了 几秒钟 就到手了,其他所有程序都一样。 这个问题我反馈给 官方了。 期待官方的 改善

    2018-04-08
    赞同
    回复
  • 李永强จุ๊บ
    李永强จุ๊บ
    2018-07-14

    目测是fiddler抓包,然并卵。

    2018-07-14
    赞同
    回复